Sådan forebygger I økonomisk it-kriminalitet

Aldrig før har truslen om it-kriminalitet mod danske virksomheder
været større

De it-kriminelle arbejder internationalt og bliver stadig smartere og mere professionelle – og lykkes oftere med deres svindel.

Vi har bedt vores ekspert i it-kriminalitet Kennie Dyreborg-Kragh om at pege på de vigtigste trusler lige nu og samle en række konkrete råd til, hvordan I bedst sikrer jer mod at blive bedraget – fx mod faktura- og betalingsbedrageri.

De største trusler fra
it-kriminelle lige nu

Danske virksomheder oplever en kraftig stigning inden for økonomisk it-kriminalitet, hvor medarbejderne bliver snydt til at udbetale penge til kriminelle. Lige for tiden arbejder ekstra mange hjemmefra på grund af coronavirus. Det er med til at øge risikoen for at blive offer for svindel, da de normale kontrolfunktioner kan være svækkede, og samtidig er kriminelle ofte ekstra aktive i turbulente tider.

Denne form for svindel sker ofte i relation til fakturaer, betalinger og online overførsler og går også under betegnelser som fake president fraud, CFO fraud, CEO fraud og impersonation fraud.

af al bedrageri bliver begået af virksomhedens egne medarbejdere – enten alene (37 %) eller i samarbejde med en ekstern gerningsmand (20 %).

PwC’s Global Economic Crime and Fraud Survey 2020

af virksomhederne i en PwC-undersøgelse har været udsat for bedrageri og økonomisk kriminalitet inden for de seneste 2 år.

PwC’s Global Economic Crime and Fraud Survey 2020

Politiets nyoprettede Landsdækkende Center for It-relateret økonomisk Kriminalitet modtog 6.082 anmeldelser om it-relateret økonomisk kriminalitet i 2019 fra danske virksomheder, organisationer og myndigheder.

Politi.dk - it-relateret økonomisk kriminalitet i 2019

15 konkrete råd til at undgå at blive snydt af it-kriminelle

1. Informer alle relevante ansatte

Giv alle relevante ansatte på tværs af organisation besked om at være særlig opmærksomme på den stigende risiko for økonomisk it-kriminalitet og bedrageri. Medarbejdere i finans- og regnskabsfunktioner er selvfølgelig oplagte mål, men risikoen gælder alle ansatte, som har direkte kontakt med leverandører og samarbejdspartnere.

2. Ingen instrukser om betaling over telefon

Når interne medarbejdere, direktører, bestyrelsesmedlemmer og lignende beder om en overførsel på mail, bør I få overførslen verificeret enten personligt eller telefonisk af personen, der har bedt om den.

Hvis en betalingsinstruks er givet over telefonen, bør I foretage et kontrolopkald til et forudoplyst telefonnummer. De involverede parter skal efterfølgende bekræfte samtalen pr. mail. 

3. Lav logfiler over usædvanlige opkald

Vær opmærksomme på, hvem I taler med i telefonen, og lav logfiler over usædvanlige opkald. Så kan I henvise til tidligere samtaler, hvis noget virker mistænkeligt.

4. Rapporter om usædvanlige beskeder

Medarbejderne bør altid rapportere enhver mistanke om bedrageri – uanset graden af mistanke – i forbindelse med betaling, finansiel transaktion, ændring af bankoplysninger til en udpeget leder tilknyttet en finans- eller regnskabsfunktion. Det kan fx være en besked fra en ledende medarbejder, hvor tonen eller fremgangsmetoden er usædvanlig, eller hvor der er grammatiske eller grafiske fejl.

5. Ingen følsomme oplysninger over telefonen

Ansatte bør aldrig udlevere private eller virksomhedsfølsomme oplysninger over telefonen. Det kan fx være detaljer om leverandørkontakter, leverandørnumre eller andre informationer, som svindlere kan bruge i deres forsøg på bedrageri.

6. Dobbelt godkendelse af store online-betalinger

Dobbelt godkendelsesprocedure er særlig vigtig og bør gælde for store elektroniske pengeoverførsler fx over 50.000 kr. Ideelt er de, der må godkende betalinger opdelt i to grupper: Gruppe A, der har autoriteten til at forpligte selskabet, og gruppe B, der har funktionen og evnen til at validere betalingen. Kombinationen af A og B sikrer, at betalingen er behørigt godkendt (A) og berettiget (B), mens A+A eller B+B kan øge risikoen for bedrageri.

7. Tjek, om en person har ret til at ændre bankoplysninger

Modtager I en besked om at ændre bankoplysninger for fx en leverandør eller samarbejdspartner, bør I undersøge, om den kommer fra en kendt kontaktperson og mailadresse. Tjek altid, om afsenderen har beføjelse til at foretage ændringen, at mailen er ægte, og at vedhæftede dokumenter understøtter beskeden.

8. Kontroller leverandørens tidligere ændringer

Beder en leverandør om at få ændret fx bankoplysninger, bør I kontrollere, om de tidligere har bedt om at få ændret standarddata. Det er selvfølgelig især vigtigt i forhold til leverandører og samarbejdspartnere med transaktioner af store beløb.

9. Lav kontrolopkald, og tjek brevpapir

Hvis der ved en given pengeoverførsel er uoverensstemmelser i de opgivne betalingsoplysninger, sammenholdt med tidligere registrerede betalingsoplysninger, bør I foretage et kontrolopkald til jeres faste kontaktperson.

Kontroller også, om brevpapiret på en instruks om fx betalinger fra en leverandør eller samarbejdspartner er på samme brevpapir, som I tidligere har modtaget.

10. Kontroller betalinger og konti

Sørg for, at I periodisk og kontinuerligt afstemmer betalinger og konti.

11. Brug digital signatur på vigtige, interne mails

Brug altid digital signatur, når I bruger interne mails til at kommunikere vigtige instruktioner.

12. Whistleblowing om ansattes deltagelse i svindel

Er I en større virksomhed bør jeres procedurer for whistleblowing omfatte situationer, hvor medarbejdere trues, intimideres eller tvinges til at udføre kriminelle handlinger af eksterne svindlere, interne ledere, kolleger eller andre personer. 

13. Ingen personlige oplysninger fra reception

Alle medarbejdere i receptionen bør behandle usædvanlige spørgsmål med forsigtighed og fx ikke oplyse navne og kontaktoplysninger til ansatte i finans- eller regnskabsafdelingen.

14. Overvej, hvad I poster på sociale medier

Sociale medier kan være en central kilde for svindlere til at få relevante informationer til et svindelnummer. Alle ansatte bør gøres opmærksomme på risikoen og have klare sikkerhedsinstruktioner om fx ikke at udlevere fortrolige oplysninger og andre vigtige informationer om virksomheden på sociale medier og netværk.

15. Pas godt på jeres hjemmeside og brugere

Beskyttelsen af jeres hjemmeside skal holdes opdateret for at undgå at svindlere lykkedes med fx pharming. Her omdirigerer it-kriminelle besøgende på jeres hjemmeside til en falsk hjemmeside med samme domænenavn, form og udseende, hvor de indsamler relevante informationer, som de kan bruge i forbindelse med deres svindelnummer.